声明

本文章所分享内容仅用于网络安全相关的技术讨论和学习，注意，切勿用于违法途径，所有渗透测试都需要获取授权，违者后果自行承担，与本文章及作者无关，请谨记守法。

前言

一次供应链渗透测试，某网站为微信小程序和web网站两个入口，thinkphp框架，而且用的应该是比较老的版本，所以测试起来还是比较简单，没有想想的复杂。

git源码泄露

某公众号，通过点击发现跳转至网页，所以抓包直接获取公众号网站链接。

打开一看，随便输入了几个admin,login,user等后台系统登录路径就出来了如下图所示情况

先目录扫描一波看看有没有信息泄露什么的，一扫描还真有一个git源码泄露

访问config确实存在，而且这个网站的源码放在github上进行托管的，但是设置了权限，需要账号密码才能获取源码。

这里直接使用githack工具把源码托下来看看，发现是thinkphp框架搭建的系统，但是没有托完，只有零零散散的几个文件。

不过比较重要的config配置文件倒是在里面，里面很多的微信小程序的appid和secret值，但是都试了下都不行，所以在看看有没有什么数据库密码啥的，发现确实存在数据库密码，但是没有开放互联网上，所以没啥用。

不过这里发现了两个手机号码，我想着这不是可以试试登录。

弱口令

直接使用账号密码123456登录，其中，而且是权限应该还很高，因为可以看admin以及其它用户的账号信息。

还可以看该企业中其它客户或者用户的公司，单位等信息，当然还有最重要的账号信息。

通过上面泄露的18000+条的账号信息可以直接登录后台，相当于我们直接获取了18000个账号的权限，这不是妥妥高危甚至严重了嘛。

日志信息泄露

后面还想测测有没有越权啥的，但一想这个thinkphp框架搭建的可能漏洞也很少甚至没有，我就用工具梭哈了一遍然后试了试thinkphp的历史漏洞，发现存在日志文件信息泄露，哈哈哈

而且泄露了token信息，但是这些大概率是小程序的，所以也没啥用，并且日志文件都是比较久的了，能用说不定也过期了。

原文始发于微信公众号（蓝云Sec）：记一次供应链系统渗透测试